PT-2021-9729 · Bloomreach · Bloomreach Experience Manager
Publicado
2021-03-11
·
Atualizado
2021-07-21
·
CVE-2020-14987
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Bloomreach Experience Manager (brXM), versões 4.1.0 a 14.2.2
Descrição
Uma falha no Bloomreach Experience Manager permite que invasores remotos executem código arbitrário devido a um tratamento incorreto da capacidade dos administradores de escrever e executar scripts Groovy dentro do editor do atualizador. Isso pode ser explorado usando uma anotação de transformação AST, como
@Grab.Recomendações
Para as versões 4.1.0 a 14.2.2, considere desativar a capacidade dos administradores de escrever e executar scripts Groovy no editor do atualizador como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao editor do atualizador para minimizar o risco de exploração. Evite usar anotações de transformação AST, como
@Grab, nos scripts Groovy até que o problema seja resolvido.Exploit
Correção
Missing Authorization
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bloomreach Experience Manager